Mer information gällande DSA-2021-152: Dell Client Platform Security Update gällande en sårbarhet med otillräcklig åtkomstkontroll i drivrutinen Dell DBUtilDrv2.sys

Vanliga frågor och svar:

F: Hur skiljer sig den här sårbarheten från den tidigare DButil-sårbarheten i DSA-2021-088?
S: DSA-2021-088 tar upp en sårbarhet i drivrutinen dbutil_2_3.sys (CVE-2021-21551). DSA-2021-152 tar upp en sårbarhet i version 2.5 och 2.6 av drivrutinen DBUtilDrv2.sys (CVE-2021-36276).

F: Berör den här sårbarheten samma produkter som berörs av DSA-2021-088?
S: Nej, produkter vars servicelivslängd nått sitt slut vid publiceringen av DSA-2021-088 berörs inte av sårbarheten i drivrutinen DBUtilDrv2.sys. Alla Dell-plattformar som stöds och som identifieras i tabell A i DSA-2021-088 berörs sannolikt av den här sårbarheten eftersom rekommendationen i DSA-2021-088 var att tillämpa drivrutinen DBUtilDrv2.sys som en åtgärd. Sex (6) plattformar som stöddes vid DSA-2021-088 har nu nått slutet av sin servicelivslängd och listas nu i Tabell B i DSA-2021-152.

F: Hittar och åtgärdar ”DBUtil Removal Utility” version 2.5 och 2.6 av drivrutinen DBUtilDrv2.sys samt äldre versioner av drivrutinen dbutil_2_3.sys som beskrivs i DSA-2021-088? Eller måste jag köra ”DBUtil Removal Utility” och ”Dells uppdaterade säkerhetsråd – DSA-2021-088” separat?
S: Ja, ”DBUtil Removal Utility” hittar och åtgärdar alla versioner av drivrutinerna DBUtilDrv2.sys och dbutil_2_3.sys enligt beskrivningen i DSA-2021-088 och DSA-2021-152. Du behöver inte köra den tidigare versionen av det här verktyget separat.

F: Hur vet jag om jag berörs?
S: Du kan påverkas om du

• har tillämpat en uppdatering av BIOS, Thunderbolt, TPM eller fast programvara för dockning i systemet, eller
• för närvarande använder eller tidigare har använt Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility eller Dell SupportAssist for PCs (Home och Business)

Om du kör verktyget manuellt enligt beskrivningen i steg 2.2.2, alternativ A, i Dells säkerhetsråd DSA-2021-152 visar verktyget om de berörda versionerna 2.5 och 2.6 av drivrutinen DBUtilDrv2.sys hittades och åtgärdades i systemet. Om du vill visa en lista över plattformar med uppdateringspaket för fast programvara och programvaruverktyg som berörs eller om du vill veta mer om den här sårbarheten och hur du åtgärdar den går du till Dells säkerhetsråd DSA-2021-152.

F: Jag använder ett Linux-operativsystem. Berör det här problemet mig?
S: Nej, den här sårbarheten är endast tillämplig när du kör Windows-operativsystem på en berörd Dell-plattform.

F: Vad är lösningen? Hur åtgärdar jag den här sårbarheten?
S: Alla kunder bör gå igenom de steg som anges i avsnitt ”2. Åtgärder” i Dells säkerhetsråd DSA-2021-152.

F: Varför finns det flera steg i avsnitt ”2. Åtgärder” i Dells säkerhetsråd DSA-2021-152
S: Steg 2.1 och 2.2 är ämnade att omedelbart åtgärda denna sårbarhet. I steg 2.3 ligger fokus på att informera dig om hur du erhåller en korrigerad drivrutin DBUtilDrv2.sys (version 2.7) under nästa schemalagda uppdatering av fast programvara. För varje steg erbjuder Dell olika alternativ och du bör välja det alternativ som bäst passar dina omständigheter.

F: Jag har aldrig uppdaterat min fasta programvara eller använt Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility eller Dell SupportAssist for PCs (Home och Business), och jag får bara BIOS-uppdateringar genom Windows-uppdateringar. Berörs jag?
S: Nej, Windows-uppdateringar installerar inte de berörda drivrutinsversionerna DBUtilDrv2.sys (version 2.5 och 2.6).

F: Jag är osäker på om jag berörs. Finns det något jag kan göra för att se till att min dator inte är sårbar?
S: Ja, du bör gå igenom de steg som anges i avsnitt 2.2 och 2.3 i Dells säkerhetsråd DSA-2021-152.

F: Skickar ni ut ”DBUtil Removal Utility”
via Dell Command Update, Dell Update, Alienware Update eller SupportAssist
S: Ja. Mer information finns i avsnitt 2.2.2 i Dells uppdaterade säkerhetsråd – DSA-2021-152. Kunder bör dock gå igenom alla steg som anges i avsnitt ”2. Åtgärder”, beroende på miljö.

F: Jag körde ”DBUtil Removal Utility” i mitt system för att ta bort version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys och efter omstart av systemet ser jag fortfarande den versionen av drivrutinen DBUtilDrv2.sys i mitt system. Hur kommer det sig?
S: Om följande gäller:

1. Du uppdaterade inte alla berörda produkter som anges i steg 2.2.1 i avsnittet ”Åtgärder” innan du tog bort version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys eller
2. Du körde ett verktyg för uppdatering av fast programvara som berörs efter att du hade tagit bort drivrutinen.

F: Efter att jag använde ett av alternativen i steg 2.2.2 i Dells säkerhetsråd DSA-2021-152 går det inte att ta bort version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys. Vad ska jag göra?
S: Om följande gäller:

1. Du uppdaterade inte alla berörda produkter som anges i steg 2.2.1 i avsnittet ”Åtgärder” innan du tog bort version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys eller
2. Du körde ett verktyg för uppdatering av fast programvara som berörs efter att du hade tagit bort drivrutinen.

F: Installeras en åtgärdad drivrutin om jag kör DBUtil Removal Utility?
S: Nej. Den åtgärdade versionen av drivrutinen installeras i systemet nästa gång du installerar en uppdatering av BIOS eller fast programvara för Thunderbolt, TPM eller dockning i systemet, eller kör en åtgärdad version av Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility eller SupportAssist for PCs (Home och Business).

F: Hur gör jag för att installera den åtgärdade versionen av drivrutinen?
S: Den åtgärdade versionen av drivrutinen DBUtilDrv2.sys (version 2.7) installeras i systemet nästa gång du installerar en uppdatering av BIOS eller fast programvara för Thunderbolt, TPM eller dockning i systemet, eller kör en åtgärdad version av Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility eller SupportAssist for PCs (Home och Business).

F: Kan jag ta bort version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys manuellt?
S: Ja, gå igenom steg 2.2.1 (om tillämpligt) och steg 2.2.2, alternativ C i Dells säkerhetsråd DSA-2021-152.

F: Hur vet jag att jag tar bort rätt fil om jag vill ta bort den sårbara drivrutinsfilen manuellt?
S: Använd följande kontrollsummevärden för SHA-256 för att bekräfta att du tar bort rätt fil:

• DBUtilDrv2 (v2.5)

• DBUtilDrv2 (v2.6)

F: Skulle borttagning av version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys orsaka interoperabilitetsproblem med annan maskinvara eller programvara?
S: Nej, drivrutinen DBUtilDrv2.sys är en verktygsdrivrutin som används i verktygspaket för uppdatering av fast programvara, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility eller Dell SupportAssist for PCs (Home och Business) för att uppdatera drivrutiner, BIOS och fast programvara för datorn. Den används inte av annan maskinvara eller programvara.

F: Jag är företagskund. Vad ska jag göra?
S: Gå igenom de åtgärdssteg som anges i avsnitt ”2. Åtgärder” i Dells säkerhetsråd DSA-2021-152. Vi förstår att det finns olika infrastrukturkonfigurationer och -scenarier med varierande grad av komplexitet. Om du har frågor eller behöver hjälp kontaktar du din Dell-konto- eller Dell-servicerepresentant.

I följande steg visas en metod som företagskunder kan använda för att distribuera ”DBUtil Removal Utility” i sin miljö, så att de kan slutföra steg 2.2.2 för att ta bort version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys från flera system.

1. Utför följande kontroll före distribution.

• Uppdatera berörda produkter som är distribuerade på företaget. I avsnitt ”2. Åtgärder” i Dells säkerhetsråd DSA-2021-152 finns information om hur du uppdaterar Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent Dell Platform Tags, Dell BIOS Flash Utility eller SupportAssist for PCs (Home och Business).

Obs! Det här fördistributionssteget förhindrar att instanser av drivrutinsfiler DBUtilDrv2.sys låses när DBUtil Removal Utility körs eller att de återinförs efter att verktyget har körts.

2. Följ stegen nedan för att ta bort de berörda drivrutinsfilerna DBUtilDrv2.sys från miljön med hjälp av Microsoft Endpoint Configuration Manager (MECM) Configuration Item (CI).

• Konfigurera CI för att köra ett PowerShell-skript.
  • Vid genomsökning av hela diskenheten kan vissa faktorer, till exempel diskstorlek/diskanvändning eller typ av disk, leda till timeout eller fel. Åtminstone bör följande kataloger, där filerna vanligen lagras, genomsökas. Om du väljer det här alternativet ser du till att uppdatera relevanta variabler, till exempel ”%windir%\temp” och ”%localappdata%\temp”.
  • I PowerShell-skriptet anger du SHA-256-kontrollsummevärdena för att verifiera att filen tas bort,
• DBUtilDrv2 (v2.5)

• DBUtilDrv2 (v2.6)

• När du har skapat CI med PowerShell-skriptet skapas en konfigurationsbaslinje som distribueras till samlingen ”All Systems”. Beroende på MECM-konfiguration kanske du måste dela upp distributionen baserat på faktorer som datorchassi, modell osv.
• Konfigurera ”collections” för loggning av att åtgärden slutförs. Du kan till exempel skapa en samling med namnet ”Compliant” för system där ingen felkod returnerades eller där filen inte detekterades och en samling med namnet ”Non-Compliant” för system där en felkod returnerades.
• När du har kört CI granskar du samlingen Non-Compliant. Du kanske ser följande instanser:
  • System som har en äldre version av någon av de berörda produkter som nämns ovan
  • System som måste startas om
  • System där CI inte slutfördes på grund av timeout
• Välj distributionsmetoden ”Required” (till skillnad från ”Available”) för att ange att det här ska vara obligatoriskt.
  • DBUtil Removal Utility tillhandahåller avslutningskoder som kan användas av MEC

MSI-avslutningskod	Beskrivning	Felkod
0	Åtgärden slutfördes.	ERROR_SUCCESS
1603	Allvarligt fel under installation.	ERROR_INSTALL_FAILURE
3010	Omstart krävs för att installationen ska slutföras. Det gäller inte installationer där åtgärden ForceReboot körs. Den här felkoden är inte tillgänglig på Windows Installer version 1.0.	ERROR_SUCCESS_REBOOT_REQUIRED

F: Hur skiljer sig det berörda verktyget Dell BIOS Flash Utility från de berörda Dell BIOS-uppdateringsverktygen?
S: Dell BIOS-uppdateringsverktygen innehåller en specifik BIOS-uppdatering för en plattform och installerar även uppdateringen på plattformen. Dell BIOS Flash Utility används endast av företag för att installera BIOS-uppdateringar men det innehåller ingen specifik BIOS-uppdatering. Mer information finns i kunskapsbasartikeln BIOS-installationsverktyg.

F: Jag använder en stödd plattform och planerar att uppdatera en drivrutin, BIOS eller fast programvara i mitt system. Det finns dock inte ännu ett uppdaterat paket som innehåller en åtgärdad dbutil-drivrutin för min plattform, eller så behöver jag tillämpa ett oåtgärdat paket. Vad ska jag göra?
S: När du har uppdaterat BIOS eller fast programvara för Thunderbolt, TPM eller dockning med hjälp av ett sårbart paket för uppdatering av fast programvara måste du sedan gå igenom steg 2.2 i Dells säkerhetsråd DSA-2021-152 direkt efter uppdateringen för att ta bort drivrutinen DBUtilDrv2.sys (version 2.5 och 2.6) från systemet. Den här åtgärden måste utföras även om du tidigare har utfört det här steget.

F: Jag använder en avvecklad plattform och planerar att uppdatera en drivrutin, BIOS eller fast programvara i systemet. Det finns dock inget uppdaterat paket som innehåller en åtgärdad drivrutin. Vad ska jag göra?
S: När du har uppdaterat BIOS eller fast programvara för Thunderbolt, TPM eller dockning med hjälp av ett sårbart paket för uppdatering av fast programvara måste du sedan gå igenom steg 2.2 i Dells säkerhetsråd DSA-2021-152 direkt efter uppdateringen för att ta bort drivrutinen DBUtilDrv2.sys (version 2.5 och 2.6) från systemet. Den här åtgärden måste utföras även om du tidigare har utfört det här steget.

F: Finns det ett annat sätt att uppdatera BIOS utan att utsätta mig för version 2.5 eller 2.6 av den sårbara drivrutinen DBUtilDrv2.sys?
S: Ja, BIOS-uppdateringar kan initieras med hjälp av F12-menyn för engångsstart. De flesta Dell-datorer som är tillverkade efter 2012 har den här funktionen och du kan bekräfta genom att starta datorn i F12-menyn för engångsstart. Om alternativet ”BIOS FLASH-UPPDATERING” visas som ett startalternativ stöder Dell-datorn den här metoden för att uppdatera BIOS med hjälp av engångsstartmenyn. Detaljerade steg beskrivs i det här supportdokumentet: Flashuppdatera BIOS från F12-menyn för engångsstart.
 
F: Känner Dell till om den här sårbarheten utnyttjas?
S: Vi känner inte till att denna sårbarhet hittills har utnyttjats av skadliga aktörer.

F: Kan en skadlig aktör utnyttja den här sårbarheten?
S: En skadlig aktör skulle först behöva få åtkomst till din dator, t.ex. genom nätfiske, skadligt program eller genom att du ger fjärråtkomst. För att skydda dig mot skadliga aktörer ska du aldrig låta oombedda kontakter (t.ex. via e-post eller telefonsamtal) fjärrstyra din dator för att åtgärda ett problem.
Vi känner inte till att denna sårbarhet hittills har utnyttjats av en skadlig aktör.

F: Ligger mitt system alltid i riskzonen när en sårbar DBUtilDrv2.sys-drivrutin av version 2.5 eller 2.6 finns i systemet?
S: Nej, först måste version 2.5 eller 2.6 av drivrutinen DBUtilDrv2.sys läsas in i minnet när en administratör kör ett av de berörda verktygspaketen för uppdatering av fast programvara, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility eller Dell SupportAssist for PCs (Home och Business). När drivrutinen version 2.5 eller 2.6 av DBUtilDrv2.sys har tagits bort från minnet efter omstart eller borttagning från datorn är sårbarheten inte längre ett problem.

F: Kan den här sårbarheten utnyttjas på distans?
S: Nej, sårbarheten kan inte utnyttjas på distans. En skadlig aktör måste först få (lokal) autentiserad åtkomst till din enhet.

F: Är drivrutinen DBUtilDrv2.sys förinstallerad i mitt system?
S: Nej, Dell-datorer levereras inte med drivrutinen DBUtilDrv2.sys förinstallerad och Dell Command Update, Dell Update, Alienware Update eller Dell SupportAssist for PCs (Home och Business) förinstallerar inte heller drivrutinen DBUtilDrv2.sys. Drivrutinen DBUtilDrv2.sys installeras och läses in på begäran genom att uppdateringsprocessen för fast programvara initieras och tas sedan bort efter en systemomstart.
Obs! När de sårbara drivrutinsfilerna DBUtilDrv2.sys (version 2.5) har installerats kan de finnas kvar i systemet även när drivrutinen har tagits bort.

F: Har Dell rättat till det här för alla nya datorer som levereras från fabriken?
S: Ja, alla system som tillverkats den 19 juli 2021 eller senare med Dell Command Update, Dell Update, Alienware Update eller Dell SupportAssist for PCs (Home) har åtgärdats.

F: Gäller denna sårbarhet endast Dell?
S: Ja, den här specifika sårbarheten berör version 2.5 och 2.6 av den Dell-specifika drivrutinen (DBUtilDrv2.sys-drivrutinen).

F: Har data på min Dell-dator utsatts för risk på grund av sårbarheten som rapporteras?
S: Nej. För att påverkas av den här sårbarheten måste en skadlig aktör få åtkomst till din dator, till exempel via nätfiske, skadligt program eller fjärråtkomst genom någon som begärt det.
Vi känner inte till att denna sårbarhet hittills har utnyttjats av illvilliga aktörer. 
Vi vill påminna dig om att skydda dig mot illvilliga aktörer:

• Ge aldrig oombedda kontakter (t.ex. via e-post eller ett telefonsamtal) fjärråtkomst till din dator för att åtgärda ett problem om du inte först kontaktar Dell för service eller support.
• Dell kontaktar inte kunder oväntat via telefon för att begära datoråtkomst i samband med den rapporterade sårbarheten.
• Om du inte har kontaktat Dell för service eller support ska du INTE ge åtkomst till din dator eller tillhandahålla personuppgifter till någon som ringer oombett. Om du är osäker på ett samtal du får ska du lägga på och omedelbart kontakta Dells support. 

F: Vad mer kan jag göra för att skydda mina data?
S: Var alltid uppmärksam och använd de här tipsen för att skydda dina data, precis som med andra enheter:

• Var försiktig när du klickar på länkar eller bilagor i e-postmeddelanden som du inte väntade dig eller som kan försöka lura dig att öppna dem genom att ange att det är problem med något av dina konton, beställningar eller andra transaktioner, och dessutom lura dig att klicka på en länk som hjälper dig att åtgärda problemet. Det kan vara en skadlig aktör som försöker få åtkomst till din enhet.
• Tillåt aldrig fjärråtkomst till din dator till en oombedd person för att lösa ett problem, även om de säger att de ringer från Dell eller någon annan tjänsteleverantör å Dells vägnar. Om du inte har kontaktat Dell först för att be om ett samtal ringer Dell inte till dig för att begära fjärråtkomst.
• Lämna aldrig ut finansiell information till oombedda kontakter som försöker debitera dig för att lösa problem med din dator.
• Betala aldrig för Dells eller någon annan teknisk supporttjänst med någon typ av presentkort eller penningöverföring. Dell ber dig aldrig om dessa betalningsformer.